Informacijski pooblaščenec predstavil nove dobre prakse pri uporabi piškotkov

Mene zanima zakaj sploh IPRS potrebuje analitiko?

Mislim, verjamem, da je zanimivo pogledati število obiskov. Pa to napisati v letno poročilo. Ampak a imajo kakšen poslovni model, ki temelji na številu obiskov? Je kdo plačan glede na število obiska spletne strani? Ali recimo delajo kakšno analizo kaj ljudi bolj zanima? Ali pa, kako bi izboljšali UX strani? Ali gre zgolj za "pumpanje ega"?

Jaz sem na svojem blogu pred leti imel najprej Googlovo analitiko, kasneje pa Piwik (zdaj Motomo). Zato, ker so to "imeli vsi". Po nekem času sem ugotovil, da zbrane podatke zelo redko pogledam. Zgolj nekajkrat na leto. In da predvsem nimam neke ideje, da bi na podlagi teh podatkov karkoli spreminjal. Gor sem pisal vsebine, ki so se meni zdele zanimive in ne kar bi recimo pritegnilo več bralcev. Oglasov nimam, torej dejansko nimam neke potrebe po zbiranju teh podatkov.

Ko sem se tega zavedel, sem analitiko preprosto vrgel stran.

Po mojem mnenju bi za vklop analitike moral biti v prvi vrsti razmislek ZAKAJ jo sploh želiš. Kaj želiš doseči. Iz tega potem sledi obseg zbiranja podatkov, rok hrambe, ukrepi za anonimizacijo, itd. Hkrati je treba pogledati tudi možne negativne vidike. Recimo, ko smo delali Supervizor, analitike namerno nismo vključili, saj nismo želeli, da imajo ljudje občutek, da se spremlja kaj po Supervizorju iščejo.

Od IP-RS pričakujem, da javno objavi zakaj želijo analitiko, kakšni so cilji zbiranja teh podatkov in kako so upoštevali morebitne negativne učinke (konec koncev so le "varuh zasebnosti" in ne nek običajen državni organ).

Pa ne v stilu kratke opombice "podatke potrebujemo da lahko spremljamo obiskanost in posledično prilagajamo in izboljšujemo vsebine". Ne! Želim vedeti zakaj želijo spremljati obiskanost (in ali je zgolj "radovednost" dovoljšen razlog za to, da lahko posegajo v zasebnost svojih obiskovalcev) in kakšno korist bodo imeli od podatka o obiskanosti.

Želim vedeti na kakšen način nameravajo prilagajati in izboljševati vsebine. Kolikokrat so to že storili, katere spremembe so uvedli na podkati teh podatkov. Itd.

Skratka, od organa, ki naj bi bil varuh zasebnosti želim zelo natančen razmislek kaj jih je vodilo k temu, da se poslužujejo zbiranja podatkov (=poseganja v zasebnost) in predvsem utemeljitev zakaj je to potrebno in sorazmerno.

Ker če je edini namen tega zbiranja, da dajo v letno poročilo en graf - potem to po mojem mnenju ni zadosten in upravičen razlog za poseganje v zasebnost.

In pozor, tukaj ne govorim o strogo zakonskih določbah. Govorim o tem, da bi organ, kot je IP-RS moral pokazati neko širšo širini duha in globlje razumevanje konceptov zasebnosti - in ne zgolj slediti strogi (in včasih tudi ozki) črki zakona.

poweroff je 31. jan 2019 ob 10:22 izjavil:

Zelo se splača prebrati tale esej. In ga predvsem skušati razumeti. To bi priporočil IP-RS:
https://www.schneier.com/blog/archives/...

Data is a toxic asset. We need to start thinking about it as such, and treat it as we would any other source of toxicity. To do anything else is to risk our security and privacy.

Data is a toxic asset and saving it is dangerous. Zat je treba zelo dobro vedeti ZAKAJ sploh potrebujemo neke podatke. Konkretno zakaj, in zakaj zdaj.

Zato, ker nikoli ne ves, kdaj prav pridejo, ti bojo povedala vsa tehnoloska podjetja in preprican sem, da jim je tisto analitiko prodal kaksem izvajalec, pricuzan na drzavne vime, po mojem je sami sploh uporabljati ne znajo.

S prihodom GDPR bi moral imeti urad IP celo zaposlitveno kampanijo, v kateri bi primarno moral ciljati na tehnicno izobrazen kader, vsi indici pa kazejo, da imajo zaposlene primarno birokrate.

Hvala za tale clanek zgoraj, zelo vredu napisano.

Torej zakon prepoveduje vsako shranjevanje ali sledenje? Čisto možno je, da se shrani sessionid piškotek, glede na katerega strežnik dela ostale stvari. Torej se "pod havbo" na strežniku dogaja nekaj drugega. Očitno piškotek shranijo, vendar ga ne uporabljajo za sledenje. Verjetno grejo te zakoni tudi ip-rs devom na živce in se jim z njimi ne da ukvarjati, kar je pa navsezadnje res slab vzgled. Na spletnih straneh svojih projektov sicer pokažem obvestiko o piškotkih, vendar piškotke shranim brez opozorila, takoj ob obisku. Če jih je strah piškotkov, naj si naložijo Lynx ali pa IE4, da bodo korali vsakega potrditi. Piškotki bi se morali urejati na strani brskalnika. Zakaj pa na primer ni omejotev uporabe RAMa z javascriptom? Nobenega zakona ni, ki mi preprecuje, da svojim obsikovalcem napolnim 1 GB RAMa. (-;

AštiriL je 1. feb 2019 ob 22:47 izjavil:

Torej zakon prepoveduje vsako shranjevanje ali sledenje? Čisto možno je, da se shrani sessionid piškotek, glede na katerega strežnik dela ostale stvari. Torej se "pod havbo" na strežniku dogaja nekaj drugega. Očitno piškotek shranijo, vendar ga ne uporabljajo za sledenje. Verjetno grejo te zakoni tudi ip-rs devom na živce in se jim z njimi ne da ukvarjati, kar je pa navsezadnje res slab vzgled. Na spletnih straneh svojih projektov sicer pokažem obvestiko o piškotkih, vendar piškotke shranim brez opozorila, takoj ob obisku. Če jih je strah piškotkov, naj si naložijo Lynx ali pa IE4, da bodo korali vsakega potrditi. Piškotki bi se morali urejati na strani brskalnika. Zakaj pa na primer ni omejotev uporabe RAMa z javascriptom? Nobenega zakona ni, ki mi preprecuje, da svojim obsikovalcem napolnim 1 GB RAMa. (-;

Saj bi se, če bedaki tvoje sorte ne bi ignorirali DNT zastavice.

Tudi ni zakona da tvoji spletni strani posljem milijon zahtevkov na minuto?

a ni DoS "prepovedan"? kao namerno onemogočanje dostopa drugim...